Les 20 et 21 juin, Moscou a accueilli . Sur la base des résultats de l'événement, les visiteurs ont pu tirer les conclusions suivantes :
- l’analphabétisme numérique se propage à la fois parmi les utilisateurs et parmi les cybercriminels eux-mêmes ;
- les premiers continuent de se laisser prendre au phishing, d'ouvrir des liens dangereux et d'introduire des logiciels malveillants dans les réseaux d'entreprise à partir de smartphones personnels ;
- parmi ces derniers, il y a de plus en plus de nouveaux arrivants qui recherchent l'argent facile sans se plonger dans la technologie - ils ont téléchargé un botnet sur le dark web, mis en place l'automatisation et surveillé le solde du portefeuille ;
- les professionnels de la sécurité doivent s'appuyer sur des analyses avancées, sans lesquelles il est très facile de passer à côté de la menace contenue dans le bruit de l'information.
Le congrès a eu lieu au World Trade Center. Le choix du site s'explique par le fait qu'il s'agit de l'une des rares installations autorisées par le Service fédéral de sécurité à accueillir des événements avec les plus hauts gradés du pays. Les visiteurs du Congrès ont pu entendre les discours du ministre du Développement numérique Konstantin Noskov, de la chef de la Banque centrale Elvira Nabioullina et du président de la Sberbank German Gref. Le public international était représenté par Aiden Wu, PDG de Huawei Russie, Jürgen Storbeck, directeur à la retraite d'Europol, Hans-Wilhelm Dünn, président du Conseil allemand de cybersécurité et d'autres experts de haut rang.
Le patient est-il vivant ?
Les organisateurs ont sélectionné des sujets adaptés à la fois aux discussions générales et aux rapports pratiques sur des questions techniques. Dans la plupart des présentations, l'intelligence artificielle a été mentionnée d'une manière ou d'une autre - au crédit des intervenants, ils ont souvent eux-mêmes admis que dans son incarnation actuelle, il s'agit plus d'un « sujet à la mode » que d'une pile technologique réellement fonctionnelle. Dans le même temps, il est aujourd’hui difficile d’imaginer protéger les grandes infrastructures d’entreprise sans l’apprentissage automatique et la science des données.
Une attaque peut être détectée en moyenne trois mois après la pénétration dans l'infrastructure.
Parce que les signatures ne peuvent à elles seules arrêter les 300 XNUMX nouveaux malwares qui apparaissent chaque jour sur Internet (selon Kaspersky Lab). Et il faut en moyenne trois mois aux professionnels de la cybersécurité pour détecter les intrus sur leur réseau. Pendant ce temps, les pirates informatiques parviennent à s'implanter tellement dans l'infrastructure qu'ils doivent être expulsés trois ou quatre fois. Nous avons nettoyé les stockages et les logiciels malveillants renvoyés via une connexion distante vulnérable. Ils ont mis en place la sécurité du réseau : les criminels envoient à un employé une lettre contenant un cheval de Troie provenant soi-disant d'un partenaire commercial de longue date, qu'ils ont également réussi à compromettre. Et ainsi de suite jusqu’au bout, peu importe qui finit par gagner.
A et B ont construit une sécurité de l'information
На этой почве бурно растут два параллельных направления ИБ: повсеместный контроль над инфраструктурой на базе центров кибербезопасности (Security Operations Center, SOC) и обнаружение вредоносной активности через аномальное поведение. Многие спикеры, например, вице-президент Trend Micro по Азиатско-Тихоокеанскому региону, Ближнему Востоку и Африке Даня Таккар (Dhanya Thakkar) призывают администраторов исходить из того, что их уже взломали — не пропускать подозрительные события, какими бы незначительными они ни казались.
IBM sur un projet SOC typique : « D'abord la conception du futur modèle de service, puis sa mise en œuvre, et ensuite seulement le déploiement des systèmes techniques nécessaires. »
D'où la popularité croissante des SOC, qui couvrent tous les domaines de l'infrastructure et signalent rapidement l'activité soudaine d'un routeur oublié. Comme l'a déclaré Georgy Racz, directeur d'IBM Security Systems en Europe, la communauté professionnelle a développé ces dernières années une certaine compréhension de ces structures de contrôle, réalisant que la sécurité ne peut être assurée uniquement par des moyens techniques. Les SOC d'aujourd'hui apportent à l'entreprise un modèle de service de sécurité de l'information, permettant d'intégrer les systèmes de sécurité dans les processus existants.
Avec toi est mon épée, mon arc et ma hache
Les entreprises existent dans des conditions de pénurie de personnel - le marché a besoin d'environ 2 millions de spécialistes de la sécurité de l'information. Cela pousse les entreprises vers un modèle d’externalisation. Les entreprises préfèrent souvent transférer même leurs propres spécialistes dans une entité juridique distincte – nous pouvons ici rappeler SberTech, le propre intégrateur de l’aéroport de Domodedovo, et d’autres exemples. À moins que vous ne soyez un géant du secteur, vous êtes plus susceptible de vous tourner vers quelqu'un comme IBM pour vous aider à constituer votre propre équipe de sécurité. Une partie importante du budget sera consacrée à la restructuration des processus afin de lancer la sécurité de l'information sous la forme de services d'entreprise.
Les scandales liés aux fuites de Facebook, Uber et du bureau de crédit américain Equifax ont soulevé les questions de protection informatique au niveau des conseils d'administration. Par conséquent, le RSSI devient un participant fréquent aux réunions et, au lieu d'une approche technologique de la sécurité, les entreprises utilisent une perspective commerciale - évaluent la rentabilité, réduisent les risques, jettent des pailles. Et lutter contre les cybercriminels prend une connotation économique : il faut rendre l'attaque non rentable pour que l'organisation n'intéresse en principe pas les pirates.
il y a des nuances
Все эти изменения не прошли мимо злоумышленников, которые перенаправили усилия с корпораций на частных пользователей. Цифры говорят сами за себя: по данным компании BI.ZONE, в 2017-2018 годах потери российских банков из-за кибератак на их системы сократились более чем в 10 раз. С другой стороны, инциденты с применением социальной инженерии в тех же банках выросли с 13% в 2014 году до 79% в 2018.
Les criminels ont découvert un maillon faible dans le périmètre de sécurité de l'entreprise, qui s'est avéré être celui des utilisateurs privés. Lorsqu'un des intervenants a demandé à tous ceux qui disposaient d'un logiciel antivirus spécialisé sur leur smartphone de lever la main, trois personnes sur plusieurs dizaines ont répondu.
En 2018, des utilisateurs privés ont été impliqués dans un incident de sécurité sur cinq ; 80 % des attaques contre les banques ont été menées par ingénierie sociale.
Les utilisateurs modernes sont gâtés par des services intuitifs qui leur apprennent à évaluer l'informatique en termes de commodité. Les outils de sécurité qui ajoutent quelques étapes supplémentaires s’avèrent être une distraction. Résultat, le service sécurisé perd face à un concurrent aux boutons plus jolis, et les pièces jointes aux emails de phishing sont ouvertes sans être lues. Il convient de noter que la nouvelle génération ne démontre pas la culture numérique qui lui est attribuée - chaque année, les victimes d'attaques rajeunissent et l'amour des millennials pour les gadgets ne fait qu'élargir l'éventail des vulnérabilités possibles.
Atteindre la personne
Les outils de sécurité combattent aujourd’hui la paresse humaine. Demandez-vous si cela vaut la peine d'ouvrir ce fichier ? Dois-je suivre ce lien ? Laissez ce processus reposer dans le bac à sable et vous évaluerez tout à nouveau. Les outils d'apprentissage automatique collectent en permanence des données sur le comportement des utilisateurs afin de développer des pratiques sûres qui ne causent pas de désagréments inutiles.
Mais que faire d'un client qui convainc un spécialiste antifraude d'autoriser une transaction suspecte, alors qu'on lui dit directement que le compte du destinataire a été détecté dans des transactions frauduleuses (un cas réel issu de la pratique de BI.ZONE) ? Comment protéger les utilisateurs contre les attaquants qui peuvent usurper un appel d'une banque ?
Huit attaques d’ingénierie sociale sur dix sont menées par téléphone.
Ce sont les appels téléphoniques qui deviennent le principal canal d'ingénierie sociale malveillante : en 2018, la part de ces attaques est passée de 27 % à 83 %, loin devant les SMS, les réseaux sociaux et les e-mails. Les criminels créent des centres d'appels entiers pour appeler les gens et leur proposer de gagner de l'argent en bourse ou de recevoir de l'argent pour participer à des enquêtes. De nombreuses personnes ont du mal à percevoir les informations de manière critique lorsqu’elles doivent prendre des décisions immédiates avec la promesse de récompenses impressionnantes.
La dernière tendance concerne les escroqueries liées aux programmes de fidélité qui privent les victimes d'années de miles accumulés, de litres d'essence gratuits et d'autres bonus. L'abonnement payant classique et éprouvé à des services mobiles inutiles reste également d'actualité. Dans l'un des rapports, il y avait l'exemple d'un utilisateur qui perdait 8 XNUMX roubles par jour à cause de ces services. Lorsqu'on lui a demandé pourquoi il n'était pas gêné par la diminution constante du solde, l'homme a répondu qu'il imputait tout cela à la cupidité de son fournisseur.
Hackers non russes
Les appareils mobiles brouillent la frontière entre les attaques contre les utilisateurs privés et les entreprises. Par exemple, un employé peut chercher secrètement un nouvel emploi. Il tombe sur un service de préparation de CV sur Internet et télécharge une candidature ou un modèle de document sur son smartphone. C'est ainsi que les attaquants qui ont lancé la fausse ressource en ligne se retrouvent sur un gadget personnel, d'où ils peuvent passer au réseau de l'entreprise.
Comme l'a dit un intervenant du Groupe-IB, une telle opération a été menée par le groupe avancé Lazarus, décrit comme une unité des services de renseignement nord-coréens. Ce sont quelques-uns des cybercriminels les plus productifs de ces dernières années : ils sont responsables de vols sur и , et même . Les groupes APT (de l'anglais advanced persistent menace, « stable advanced menace »), dont le nombre est passé à plusieurs dizaines ces dernières années, se lancent sérieusement et depuis longtemps dans l'infrastructure, après avoir étudié au préalable toutes ses caractéristiques et faiblesses. C’est ainsi qu’ils parviennent à connaître le parcours professionnel d’un salarié ayant accès au système d’information nécessaire.
Aujourd’hui, les grandes organisations sont menacées par 100 à 120 cybergroupes particulièrement dangereux, un cinquième attaquant des entreprises en Russie.
Timur Biyachuev, chef du département de recherche sur les menaces chez Kaspersky Lab, a estimé le nombre des groupes les plus dangereux entre 100 et 120 communautés, et il y en a actuellement plusieurs centaines au total. Les entreprises russes sont menacées d'environ 20 %. Une proportion importante de criminels, notamment ceux issus de groupes émergents, vivent en Asie du Sud-Est.
Les communautés APT peuvent créer spécifiquement une société de développement de logiciels pour couvrir leurs activités ou , чтобы добраться до нескольких сотен своих целей. Эксперты постоянно наблюдают за такими группировками, собирая воедино разрозненные улики, чтобы определить фирменный стиль каждой из них. Такая разведка (threat intelligence) остается лучшим превентивным оружием против киберпреступности.
A qui seras-tu?
Les experts affirment que les criminels peuvent facilement modifier leurs outils et leurs tactiques, créer de nouveaux logiciels malveillants et découvrir de nouveaux vecteurs d'attaque. Le même Lazare, dans l'une de ses campagnes, a inséré des mots russes dans le code afin de détourner l'enquête. Cependant, le comportement lui-même est beaucoup plus difficile à modifier, de sorte que les experts peuvent deviner, à partir des traits caractéristiques, qui a mené telle ou telle attaque. Ici encore, ils sont aidés par les technologies du big data et de l’apprentissage automatique, qui séparent le bon grain de l’ivraie dans les informations collectées par la surveillance.
О проблеме атрибуции, или определения личности атакующих, докладчики конгресса говорили не раз и не два. С этими задачами связаны и технологические, и правовые вопросы. Скажем, попадают ли преступники под защиту законодательства о персональных данных? Разумеется, да, а значит пересылать информацию об организаторах кампаний можно только в обезличенном виде. Это накладывает некоторые ограничения на процессы обмена данными внутри профессионального ИБ-сообщества.
Школьники и хулиганы, клиенты подпольных хакерских магазинов, тоже затрудняют расследование инцидентов. Порог входа в отрасль киберпреступности снизился до такой степени, что ряды вредоносных акторов стремятся к бесконечности — всех не пересчитаешь.
belle de loin
Il est facile de désespérer à l’idée que des employés créent de leurs propres mains une porte dérobée vers le système financier, mais il existe également des tendances positives. La popularité croissante de l’open source augmente la transparence des logiciels et facilite la lutte contre les injections de codes malveillants. Les spécialistes de la science des données créent de nouveaux algorithmes qui bloquent les actions indésirables en cas de signes d'intention malveillante. Les experts tentent de rapprocher les mécanismes des systèmes de sécurité du fonctionnement du cerveau humain, afin que les défenses utilisent l'intuition ainsi que des méthodes empiriques. Les technologies d’apprentissage profond permettent à ces systèmes d’évoluer indépendamment sur la base de modèles de cyberattaques.
Skoltech : « L’intelligence artificielle est à la mode, et c’est tant mieux. En fait, c’est encore loin d’y arriver, et c’est encore mieux.
Comme l'a rappelé Grigori Kabatiansky, conseiller du recteur de l'Institut des sciences et technologies de Skolkovo, de tels développements ne peuvent pas être qualifiés d'intelligence artificielle. La véritable IA sera capable non seulement d'accepter des tâches confiées par des humains, mais également de les définir de manière indépendante. L’émergence de tels systèmes, qui prendront inévitablement place parmi les actionnaires des grandes entreprises, se fera encore attendre dans plusieurs décennies.
Entre-temps, l’humanité travaille avec les technologies d’apprentissage automatique et de réseaux neuronaux, dont les académiciens ont commencé à parler au milieu du siècle dernier. Les chercheurs de Skoltech utilisent la modélisation prédictive pour travailler avec l'Internet des objets, les réseaux mobiles et les communications sans fil, ainsi que les solutions médicales et financières. Dans certains domaines, l'analyse avancée combat la menace de catastrophes d'origine humaine et les problèmes de performances du réseau. Dans d'autres, il suggère des options pour résoudre des problèmes existants et hypothétiques, résout des problèmes tels que dans des médias apparemment inoffensifs.
Formation sur les chats
Igor Lyapunov, vice-président pour la sécurité de l'information chez Rostelecom PJSC, voit le problème fondamental de l'apprentissage automatique dans la sécurité de l'information dans le manque de matériel pour les systèmes intelligents. Un réseau de neurones peut apprendre à reconnaître un chat en montrant des milliers de photographies de cet animal. Où puis-je trouver des milliers de cyberattaques à citer en exemple ?
La proto-IA d'aujourd'hui permet de rechercher des traces de criminels sur le darknet et d'analyser les logiciels malveillants déjà découverts. Lutte contre la fraude, la lutte contre le blanchiment d'argent, l'identification partielle des vulnérabilités du code - tout cela peut également être réalisé par des moyens automatisés. Le reste peut être attribué aux projets marketing des développeurs de logiciels, et cela ne changera pas dans les 5 à 10 prochaines années.
Source: habr.com